Что такое JWT
JWT (JSON Web Token) — стандартный формат токенов авторизации: строка из трёх частей, разделённых точками. Первая часть (header) описывает алгоритм подписи, вторая (payload) содержит данные — идентификатор пользователя, права, сроки действия, третья — криптографическую подпись. Первые две части — это обычный JSON в кодировке Base64URL, поэтому их можно прочитать без всяких ключей.
Стандартные поля payload
sub— идентификатор субъекта (обычно ID пользователя);iss— издатель токена,aud— для кого токен предназначен;iat— время выдачи,exp— срок истечения,nbf— время начала действия (Unix timestamp);- остальные поля произвольные: роли, e-mail, имена и всё, что положил туда сервис.
Инструмент автоматически переводит iat, exp и nbf в обычные даты и показывает, действителен ли токен прямо сейчас.
Отладка авторизации
Типичный сценарий: API возвращает 401, и нужно понять почему. Вставьте токен из заголовка Authorization (префикс «Bearer» можно не убирать — он отбрасывается автоматически) и проверьте: не истёк ли exp, тот ли iss и aud, есть ли нужные роли в payload. Помните, что подпись здесь не проверяется — валидность подписи может подтвердить только сервер с ключом.
Частые вопросы
Безопасно ли вставлять сюда рабочий токен?
Токен декодируется полностью в вашем браузере и никуда не отправляется. Тем не менее помните: JWT — это ключ доступа, не публикуйте его в чатах и трекерах. Для продакшен-токенов лучше использовать тестовые копии.
Почему JWT можно прочитать без ключа?
Header и payload в JWT — это просто Base64URL-кодированный JSON, а не шифрование. Подпись (третья часть) лишь защищает токен от изменения. Поэтому в JWT нельзя класть секреты — любой, у кого есть токен, прочитает его содержимое.
Проверяет ли инструмент подпись токена?
Нет, для проверки подписи нужен секретный ключ или публичный ключ издателя. Инструмент показывает содержимое и проверяет только сроки действия (поля exp и nbf) по часам вашего устройства.
Обновлено: 2 июля 2026